Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was ist .NET?
6 Installation
7 Die Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint Foundation und SharePoint Server
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
Stichwort

Buch bestellen
Ihre Meinung?

Spacer
Windows Server 2012 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2012 R2

Windows Server 2012 R2
Rheinwerk Computing
1392 S., 4., aktualisierte Auflage 2014, geb.
59,90 Euro, ISBN 978-3-8362-2013-2
Pfeil 12 Active Directory-Zertifikatdienste
Pfeil 12.1 Einige Anwendungsszenarien
Pfeil 12.1.1 Internet-Authentifizierung und Verschlüsselung
Pfeil 12.1.2 Sichere E-Mail
Pfeil 12.1.3 Codesignatur
Pfeil 12.1.4 IP-Verschlüsselung
Pfeil 12.1.5 Anmeldung mit Smartcard
Pfeil 12.1.6 Wireless Authentification (802.1X)
Pfeil 12.1.7 Fazit
Pfeil 12.2 Zertifikatdienste installieren und Migration (einstufige Architektur)
Pfeil 12.3 Zertifikate aus Sicht des Clients
Pfeil 12.4 Zertifizierungspfad
Pfeil 12.5 Zertifikatvorlagen
Pfeil 12.6 Weboberfläche
Pfeil 12.7 Mehrstufige Architekturen
Pfeil 12.7.1 Rollen
Pfeil 12.7.2 Architekturen
Pfeil 12.8 Autoenrollment und automatische Zertifikatanforderung
Pfeil 12.8.1 Automatische Zertifikatanforderung
Pfeil 12.8.2 Autoenrollment
Pfeil 12.9 Zertifikate für Websites
Pfeil 12.10 Zertifikatsperrlisten
Pfeil 12.10.1 Funktionsweise – ganz grob
Pfeil 12.10.2 Sperrlisteneinträge
Pfeil 12.10.3 Gültigkeit einer Sperrliste
Pfeil 12.10.4 Zertifikatgültigkeit überprüfen
Pfeil 12.10.5 Der Cache
Pfeil 12.10.6 ISA Server zum Veröffentlichen des Speicherortes verwenden
Pfeil 12.11 Das Online Certificate Status Protocol (OCSP)
Pfeil 12.11.1 Konfiguration des Online-Responders
Pfeil 12.11.2 Anpassung der Zertifizierungsstelle
Pfeil 12.11.3 Testen
Pfeil 12.11.4 ISA Server-Veröffentlichung
Pfeil 12.12 Zweistufige Architektur implementieren
Pfeil 12.12.1 Offline-CA installieren und konfigurieren
Pfeil 12.12.2 Zertifikat und Sperrliste dem Unternehmenszertifikatserver und dem Active Directory hinzufügen
Pfeil 12.12.3 Unternehmens-CA installieren
Pfeil 12.12.4 Sperrlisten-Verteilungspunkt mit ISA Server veröffentlichen
Pfeil 12.13 Zertifikate und Windows Mobile
Pfeil 12.13.1 Pocket PC und Pocket PC Phone Edition
Pfeil 12.13.2 Smartphone
Pfeil 12.14 Zertifikate und das iPhone

Galileo Computing - Zum Seitenanfang

12.5 Zertifikatvorlagen

Sie haben bereits erfahren, dass es viele unterschiedliche Zertifikatstypen gibt, beispielsweise solche für Computer, für Benutzer und vieles andere mehr. Das »wirkliche« Unterscheidungsmerkmal der Zertifikate sind die Verwendungszwecke des Zertifikats, beispielsweise:

  • Clientauthentifizierung
  • Serverauthentifizierung
  • E-Mail-Verschlüsselung und -Signierung
  • verschlüsselndes Dateisystem
  • Codesignatur

Wie Sie in Abbildung 12.31 erkennen können, sind in der Zertifikatsverwaltung verschiedene Zertifikatvorlagen vorhanden. Die genauen Verwendungszwecke sind aus dem Eigenschaftendialog der jeweiligen Zertifikatvorlage ersichtlich.

Festzustellen ist, dass jedes Zertifikat, das von einer Zertifizierungsstelle ausgestellt wird, auf einer Zertifikatvorlage basieren muss. Um also Zertifikate zu erzeugen, die für eine bestimmte Kombination von Verwendungszwecken vorgesehen sind, müssen Sie eine entsprechende Zertifikatvorlage erstellen. In diesem Abschnitt führe ich Ihnen vor, wie eine Zertifikatvorlage für Benutzer erstellt wird, deren Zertifikate nur für Clientauthentifizierung und Sichere E-Mail, nicht aber für das verschlüsselnde Dateisystem verwendet werden können.

Abbildung

Abbildung 12.31 Zertifikate, die auf einer der angezeigten Zertifikatvorlagen basieren, können Sie bei dieser Zertifizierungsstelle erhalten.

Der erste Schritt ist das Aufrufen des Verwaltungswerkzeugs für die Zertifikatvorlagen. Hierzu gibt es zwei Möglichkeiten:

  • In der Verwaltung der Zertifizierungsstelle können Sie im Kontextmenü des Eintrags Zertifikatvorlagen die Verwaltung derselben aufrufen (Abbildung 12.32).
  • Alternativ können Sie das Snap-In Zertifikatvorlagen direkt der MMC hinzufügen.

In dem Snap-In zur Verwaltung der Zertifikatvorlagen sind deutlich mehr Vorlagen zu sehen als in dem entsprechenden Knoten der Verwaltung der Zertifizierungsstelle. Mit anderen Worten: Nicht alle vorhandenen Zertifikatvorlagen sind auch direkt für die Zertifizierungsstelle aktiv.

Man kann einerseits die vorhandenen und noch nicht von der Zertifizierungsstelle verwendeten Vorlagen aktivieren. Darüber hinaus können auch eigene Zertifikatvorlagen mit einer individuellen Kombination von Verwendungszwecken eingerichtet werden.

In diesem Beispiel soll eine neue Benutzer-Zertifikatvorlage erstellt werden, die im Gegensatz zur Standardvorlage nicht für die Verwendung des verschlüsselnden Dateisystems vorgesehen ist. Der erste Schritt hierzu ist in Abbildung 12.33 gezeigt: Sie wählen die »ähnlichste« Vorlage aus (in diesem Fall Benutzer) und rufen in deren Kontextmenü die Funktion Vor lage duplizieren auf. Was dieser Befehl macht, ist leicht zu erraten – es wird eine Kopie der Zertifikatvorlage angelegt. Aus dieser Kopie wird dann die neue Zertifikatvorlage erstellt.

Abbildung

Abbildung 12.32 Um alle Zertifikatvorlagen zu verwalten, wählen Sie einfach die entsprechende Funktion im Kontextmenü.

Abbildung

Abbildung 12.33 Am einfachsten erstellt man eine neue Vorlage, indem man eine bestehende dupliziert.

Beim Erstellen der Kopie der Zertifikatvorlage werden Sie gefragt werden, auf welcher Version der Stammzertifizierungsstelle die neue Zertifikatvorlage basieren soll. Zur Auswahl stehen die Optionen von Windows 2003 Server bis Windows Server 2012 R2 (Abbildung 12.34). Die Unterschiede liegen in den auswählbaren Erweiterungen. Ebenfalls gewählt werden kann, für welche Client-Systeme das Zertifikat geeignet sein soll.

Abbildung

Abbildung 12.34 Hier legen Sie fest, auf welchem Betriebssystem die Zertifizierungsstelle mindestens laufen muss.

Sofern Sie eine Vorlage konfigurieren, die beispielsweise eine Windows Server 2012-Zertifizierungsstelle voraussetzt, gibt es einige zusätzliche Einstellmöglichkeiten, beispielsweise zur Kryptografie (welcher Cryptography Service Provider soll verwendet werden etc.).

Als Nächstes arbeiten Sie im Eigenschaftendialog der neuen Zertifikatvorlage weiter und nehmen die notwendigen Konfigurationsänderungen vor (Abbildung 12.35). Ich werde nicht jede einzelne Option beschreiben; die meisten Einstellungen sind selbsterklärend.

Auf der Karteikarte Allgemein können Sie den Vorlagennamen und den Vorlagenanzeigenamen wählen, was kaum spektakulär ist. Im Normalfall werden Sie die Zertifikatvorlage im Active Directory veröffentlichen, was zur Folge hat, dass AD-Clients die Vorlage beim Anfordern eines neuen Zertifikats in der Auswahlliste sehen.

Abbildung

Abbildung 12.35 Konfiguration der neuen Zertifikatvorlage

Wichtig ist natürlich auch die Gültigkeitsdauer, die je nach Verwendungszweck konfiguriert werden kann und soll. Bei einem Benutzerzertifikat ist ein Jahr ein durchaus sinnvoller Wert. Aus Gründen der Sicherheit sollte sie nicht zu lang sein – aber auch nicht zu kurz, damit Sie nicht ständig das Zertifikat erneuern müssen.

Besonders hinweisen möchte ich Sie auf den Eintrag Unterstützte Zertifizierungsstellen (Min.), den Sie nicht verändern können (auf der nicht abgebildeten Registerkarte Kompatibilität).

Sofern die Zertifizierungsstelle in das Active Directory integriert ist (Enterprise CA) und die Zertifikatvorlage im AD veröffentlicht wird, sieht es im Active Directory so aus, wie auf Abbildung 12.36 gezeigt:

  • Die Zertifizierungsstelle ist im Konfigurationsnamenskontext verzeichnet.
  • In den Eigenschaften der Zertifizierungsstelle, genauer gesagt im Attribut certificateTemplates, sind die verwendeten Zertifikatvorlagen aufgeführt.
  • Details zu den einzelnen Zertifikatvorlagen können, sofern sie im AD veröffentlicht werden, ebenfalls im Konfigurationsnamenskontext ermittelt werden. Unter Configuration · Services · Public Key Services · Certificate Templates sind Informationen zu dieser Zertifikatvorlage gespeichert.

Ich zeige Ihnen die Beispiele mit ADSI-Editor übrigens nicht etwa deshalb, weil ich Sie animieren möchte, mit diesem Werkzeug im AD »herzumzuadministrieren«, sondern um Ihnen zu helfen, die Hintergründe zu verstehen. Um im Problemfall schnell die richtigen Schlüsse zu ziehen, ist es einfach wichtig, ein wenig die Hintergründe zu kennen.

Abbildung

Abbildung 12.36 Ein Blick ins Active Directory mit ADSI-Editor. Die neue Zertifikatvorlage ist in der Eigenschaft »certificateTemplates« der Zertifizierungsstelle verzeichnet.

Nun müssen Sie noch konfigurieren, für welche Zwecke dieses Zertifikat verwendet werden soll. Dieses erledigen Sie auf der Karteikarte Erweiterungen, indem Sie die Anwendungsrichtlinien bearbeiten (Abbildung 12.37).

In dem hier vorgeführten Beispiel sollen die mittels dieser Vorlage ausgestellten Zertifikate nicht für das verschlüsselnde Dateisystem verwendet werden, demzufolge wird der entsprechende Eintrag entfernt. Genauso können weitere Verwendungszwecke hinzugefügt werden.

Etliche weitere Konfigurationsmöglichkeiten stehen zur Verfügung, werden an dieser Stelle aber nicht weiter besprochen. Ist die Konfiguration der neuen Zertifikatvorlage abgeschlossen, wird diese in der Liste der Vorlagen aufgeführt werden (Abbildung 12.38).

Abbildung

Abbildung 12.37 So wird die Anwendungsrichtlinie der neuen Vorlage konfiguriert.

Abbildung

Abbildung 12.38 Die neue Zertifikatvorlage benötigt einen Enterprise Edition-Server.

Da nun die Zertifikatvorlage konfiguriert ist, kommen wir zum letzten Schritt, nämlich zum Hinzufügen der neuen Zertifikatvorlage als auszustellende Zertifikatvorlage. Hierzu wählen Sie im Kontextmenü des Knotens Zertifikatvorlage in dem Snap-In Zertifizierungsstelle die Funktion Neu · Auszustellende Zertifikatvorlage. Es wird ein Dialog erscheinen, der die installierten Zertifikatvorlagen anzeigt; durch Auswahl von OK können Sie die selektierte Vorlage hinzufügen (Abbildung 12.39, Abbildung 12.40).

Abbildung

Abbildung 12.39 Die neue Zertifikatvorlage wird den auszustellenden Zertifikatvorlagen hinzugefügt.

Abbildung

Abbildung 12.40 Auswahl der Vorlage

Wenn ein Benutzer mittels des Snap-Ins Zertifikate auf seinem PC/Notebook ein Zertifikat anfordern will, wird ihm die neue Vorlage ebenfalls in der Auswahlliste angezeigt werden (Abbildung 12.41).

Welche Zertifikatvorlagen einem Benutzer tatsächlich angezeigt werden, hängt davon ab, welche Berechtigungen in der Zertifikatvorlage gesetzt worden sind. Angezeigt werden nur diejenigen Vorlagen, bei denen der Benutzer das Recht »Registrieren« hat. Die Berechtigungen können im Eigenschaftendialog der Zertifikatvorlage auf der Karteikarte Sicherheit eingestellt werden.

Abbildung

Abbildung 12.41 Ein auf der neuen Zertifikatvorlage basierendes Zertifikat kann nun vom Benutzer angefordert werden.

Zum Schluss möchte ich Ihnen zeigen, dass das Zertifikat tatsächlich gemäß den Einstellungen in der Zertifikatvorlage erstellt worden ist (Abbildung 12.42):

  • Als Verwendungszwecke sind nur ClientAuthentifizierung (Garantiert dem Remotecomputer ...) und Sichere E-Mail (Schützt E-Mail-Nachrichten) vorhanden. Der Verwendungszweck Verschlüsselndes Dateisystem, der bei der Originalvorlage vorhanden ist, fehlt.
  • Das Gültigkeitsdatum ist auf ein Jahr beschränkt.

Abbildung

Abbildung 12.42 Ein auf der neuen Vorlage basierendes Zertifikat



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.

>> Zum Feedback-Formular
<< zurück




Copyright © Rheinwerk Verlag GmbH, Bonn 2014
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de


  Zum Katalog
Zum Katalog: Windows Server 2012 R2






Windows Server 2012 R2
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Office 365






 Office 365


Zum Katalog: Microsoft Hyper-V






 Microsoft Hyper-V


Zum Katalog: Linux-Server






 Linux-Server


Zum Katalog: Vmware vSphere 5






 Vmware vSphere 5


Zum Katalog: Windows 8 für Administratoren






 Windows 8 für
 Administratoren


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo